安全形势分析之IPv6协议网络(1)

安全形势分析之IPv6协议网络(1)

在传统IPv4网络中，安全一直是令我们头疼的问题。现在IPv6协议网络的到来却给我们解决了诸多的安全问题。这是因为，在IPv4网络上面，我们演进的V6版本，采取了不同的传输结构， 那么安全机制也有了改变。但是这个真的就安全了吗？

IP安全协议(IPSec) IPSec是IPv4的一个可选扩展协议,而在IPv6协议则是一个必备组成部分｡IPSec协议可以“无缝"地为IP提供安全特性,如提供访问控制､数据源的身份验证､数据完整性检查､机密性保证,以及抗重播(Replay)攻击等｡新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证,提高抗路由攻击的性能｡

端到端的安全保证 IPv6协议网络最大的优势在于保证端到端的安全,可以满足用户对端到端安全和移动性的要求｡IPv6限制使用NAT,允许所有的网络节点使用其全球惟一的地址进行通信｡每当建立一个IPv6的连接,都会在两端主机上对数据包进行 IPSec封装,中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6协议网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度｡

地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念｡从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便｡若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机｡

域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃,而采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议,能进一步增强目前针对DNS新的攻击方式的防护,例如“网络钓鱼(Phishing)"攻击､“DNS中毒(DNS poisoning)"攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒､恶意网站的IP地址等｡此外,专家认为,如果能争取在我国建立IPv6域名系统根服务器,则对于我国的信息安全很有必要和十分重要｡

总体来说IPv6与IPV4相比具有以下几个优势:

1､IPv6协议网络具有更大的地址空间｡IPv4中规定IP地址长度为32,即有2^32-1(符号^表示升幂,下同)个地址;而IPv6中IP地址的长度为128,即有2^128-1个地址｡

2､IPv6使用更小的路由表｡IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度｡

3､IPv6增加了增强的组播(Multicast)支持以及对流的支持(Flow Control),这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台｡

4､IPv6加入了对自动配置(Auto Configuration)的支持｡这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷｡